Bitcoin(BTC)$113,708.00-2.16%
Ethereum(ETH)$3,519.27-5.38%
XRP(XRP)$2.97-2.34%
Tether(USDT)$1.00-0.03%
BNB(BNB)$753.81-4.94%
Solana(SOL)$162.06-6.77%
USDC(USDC)$1.000.00%
Lido Staked Ether(STETH)$3,515.10-5.48%
TRON(TRX)$0.323646-0.73%
Dogecoin(DOGE)$0.202834-4.16%
Lido запевняє, що токени LDO, stETH залишаються в безпеці, незважаючи на недолік контракту на токени
Протокол стекінгу Ethereum Lido Finance запевнив як Lido DAO (LDO) і маркери Staked-Ether (stETH) залишаються в безпеці, незважаючи на те, що хакери нібито використовують відомий недолік безпеки в контракті токенів LDO.
Лідо ні підтвердити будь-які експлойти, але визнав, що недолік безпеки був відомий, і заспокоїв LDO та Кошти stETH залишаються в безпеці у відповідь на публікацію фірми безпеки блокчейнів SlowMist від 10 вересня.
SlowMist сказав, що дефектний контракт LDO на токени дозволяє зловмисникам сприяти атакам на біржі «фальшивих депозитів», оскільки контракт на токени LDO дозволяє користувачам виконувати транзакції, навіть якщо у них немає достатніх коштів. Цей код відрізняється від Ethereum Запит на коментар 20 (ERC-20) стандарт маркера, згідно з SlowMist.
Однак Lido Finance стверджує, що недолік вбудований у всі токени ERC-20, а не лише в токен LDO Lido:
Така поведінка є очікуваною та відповідає стандарту токенів ERC20 (див. твіт нижче). І LDO, і stETH (і управління Lido) залишаються безпечними.
Посібники з інтеграції токенів Lido будуть оновлені з урахуванням особливостей LDO, щоб зробити це більш помітним незабаром.
— Лідо (@LidoFinance) 10 вересня 2023 р
SlowMist заявив, що атаки на «підроблені депозити» походять від контракту на токени LDO, який виконує перекази, де вартість перевищує фактичну власність користувача, що викликає помилкове повернення, а не повернення транзакції. Хоча фірма заявила, що контракт на токени Lido нещодавно був використаний за допомогою цієї атаки, жодних доказів у ланцюжку не було надано.
Cointelegraph звернувся до SlowMist за коментарем, але не отримав негайної відповіді.
Тим часом мережевий аналітик «Геркулес» пояснив 10 вересня, що недолік безпеки не може бути виявлений біржами криптовалют.
SlowMist рекомендує власникам LDO також перевіряти повернення вартості передачі контракту токенів на додаток до успіху чи невдачі транзакції.
Фірма безпеки блокчейну укладений що реалізація контрактів і поведінка токенів відрізняються залежно від проекту, а також провести комплексне тестування перед інтеграцією будь-яких нових токенів.
пов’язані: Служби стейкингу Ethereum погоджуються на 22% обмеження всіх валідаторів
Однак Лідо підкреслив в офіційному Документ пропозиції щодо покращення Ethereum — у співавторстві з Віталіком Бутеріним у листопаді 2015 року — що обидві функції «transfer» і «transferFrom» повинні повертати статус передачі, і їх рекомендується лише для повернення транзакції у виняткових випадках.
Стандарт маркера ERC20: https://t.co/YlrS1ZN6Fd
1) Для повернення статусу передачі потрібні як передача, так і передачаВід, а для повернення передачі рекомендується лише у виняткових випадках.
2) Стандарт говорить, що абонент зобов’язаний перевірити статус повернення (див. «Методи маркерів»). pic.twitter.com/6KTcIyxo2F
— Лідо (@LidoFinance) 10 вересня 2023 р
Щоб усунути недолік безпеки, Lido підтверджено посібники з інтеграції токенів LDO незабаром буде оновлено.
Журнал: Батько DeFi, Hall of Flame: Ethereum «страшно недооцінений», але стає все більш потужним
